Cambio de las reglas de seguridad en tiempo real con el aprendizaje automático

La visibilidad, o la falta de ella, es una queja común en todos los ámbitos operativos y de desarrollo en la actualidad. Los desarrolladores lamentan la falta de visibilidad sobre el rendimiento de las aplicaciones una vez implementadas en el entorno de "producción", ya sea localmente o en una nube pública. Las operaciones de todo tipo, desde infraestructura hasta red y seguridad, lamentan la incapacidad de mirar dentro de las grietas del tráfico de aplicação y extraer de su flujo señales de un ataque.

La visibilidad, tal como se utiliza en seguridad, se logra necesariamente mediante el despliegue de servicios de red y de aplicação que se encuentran lógicamente delante de la aplicação. Esta práctica ha surgido por muchas razones, pero lo cierto es que una aplicação carece del contexto necesario para reconocer muchas formas de ataque. Esto se debe a que las pilas de aplicação restringen a los desarrolladores a la información disponible por conexión. Esta es una medida de seguridad en sí misma, ya que el aislamiento evita que un actor malicioso en una conexión tenga acceso a un actor bueno en otra conexión.

Pero esta restricción limita la capacidad de la aplicação (y su plataforma) de comprender las conexiones y el tráfico de aplicação en contexto. Al trasladar esa responsabilidad hacia arriba, por delante de la aplicação, los servicios de red y de aplicação tienen la oportunidad de evaluar cada conexión y su carga útil en el contexto de todas las conexiones y cargas útiles intercambiadas con esa aplicação.

Es importante reconocer esto cuando analizamos cómo abordar la creciente amenaza de los ataques DoS en la capa de aplicação . 

Es desconcertante observar que estos ataques a la capa de aplicação están aumentando en volumen y frecuencia. Es aún más preocupante saber que el 43% de los ataques DoS en la capa de aplicação pueden evadir la detección basada en firmas y reputación. Las firmas estáticas se vuelven rápidamente obsoletas debido a la rápida evolución de la capacidad de los actores maliciosos de personalizar y apuntar a aplicações específicas.

Las firmas estáticas son como las vacunas contra la gripe. Las vacunas contra la gripe se desarrollan para proteger contra una cepa particular de la gripe, según la experiencia previa con el virus. Es esencialmente una firma biológica que identifica un virus específico. No es capaz de identificar una nueva cepa del mismo virus, dejándonos vulnerables a sufrir otro brote de gripe.

Los malos actores son tan hábiles como un virus de la gripe para adaptarse y evolucionar para evitar ser detectados y eliminados. Para afrontar este desafío, necesitamos poder identificar a los actores maliciosos en función de su comportamiento en lugar de una característica específica. Para lograrlo necesitamos visibilidad y el contexto que ésta nos pueda proporcionar. 

Protección DoS conductual L7

En esencia, la protección DoS conductual L7 es una vacuna contra la gripe que es capaz de detectar el virus responsable basándose en su comportamiento en lugar de su composición real. Esta capacidad es especialmente importante en la capa 7 (aplicação) porque tales ataques no son meramente volumétricos. Algunos están diseñados simplemente para bloquear las conexiones y agotar la capacidad de la aplicación para servir a usuarios legítimos, negándoles así el servicio. Otros son más sutiles e intentan crear solicitudes para que la aplicação se bloquee y provoque una interrupción.

Para detectar las distintas cepas de ataques DoS L7 es necesario tener la capacidad de evaluar solicitudes individuales comparándolas con lo que se considera normal. Pero simplemente definir un comportamiento "normal" es similar a crear una firma. Lo que es normal para una aplicação a gran escala basada en API no es normal para una aplicação basada en web utilizada por una única unidad de negocio o departamento.

Por lo tanto, determinar lo “normal” es el primer paso. El DoS conductual logra esto recopilando bits específicos de información de cada paquete que pasa por el sistema. Estos bits se toman de la red, el transporte y los datos de la aplicação . Se establece una línea base a partir de elementos como los tamaños o atributos de encabezado normales, cuál es el estrés normal en el servidor o los tiempos de respuesta y latencia normales. Utilizando un modelo estadístico, el sistema calcula un umbral de normalidad para esos valores a partir de miles de observaciones cada segundo.

Cuando la aplicação muestra signos de estrés con un rendimiento degradado o una carga pesada, hace que el sistema pase al "modo de ataque". En este modo, suceden varias cosas: 

• La limitación de velocidad comienza mientras se construye una firma dinámica basada en el descubrimiento de anomalías.
• Dependiendo de su configuración, la nueva firma personalizada puede esperar su aprobación o puede activar automáticamente la mitigación.
• Puede personalizar aún más cómo funciona la mitigación de ataques cuando el tráfico coincide con la nueva firma.
  • Conservador – bloquea solo lo que se sabe mal
  • Estándar: bloquea solo el tráfico conocido como malo, a menos que el estrés del servidor sea demasiado alto; en ese caso, limita la velocidad de todo el tráfico durante el ataque.
  • Agresivo: limita automáticamente la velocidad de todo el tráfico según sea necesario para garantizar la buena salud del servidor
• Una vez que la firma dinámica se ejecuta durante el tiempo suficiente para identificar la fuente del ataque, la mitigación cambia de la limitación de velocidad al bloqueo basado en la capa 3.

Este proceso incluye garantizar que haya menos del 5% de superposición de características con "flujos buenos" para evitar falsos negativos. Una vez que la salud de la aplicação vuelva a la normalidad, el sistema puede relajarse.

La ventaja del DoS conductual L7 es que se centra en aprender constantemente lo que es normal e identificar lo que no lo es. Esto le permite detectar ataques L7 que son nuevos o evolucionaron a partir de ataques anteriores que los sistemas basados en firmas estáticas no detectarán hasta que se actualicen.

El análisis del comportamiento es posible gracias a modelos de aprendizaje automático muy específicos. Estos modelos permiten que la protección de las aplicação evolucione en tiempo real y ofrecen la agilidad que el ámbito de la seguridad necesita desesperadamente para mantenerse al día hoy. Los actores maliciosos modifican y ajustan constantemente los ataques para evadir la detección. Para proteger mejor las aplicações, los servicios de seguridad necesitan cambiar sus suposiciones y operar en el contexto del entorno en el que se encuentran. Simplemente no es razonable pedir a los profesionales de seguridad que creen umbrales para todas y cada una de las aplicação de la cartera de la empresa.

A medida que la carga sobre la seguridad y las operaciones crece debido a la incorporación de nuevas aplicações y entornos, es importante trasladar esa carga de las personas a la tecnología siempre que sea posible. El DoS conductual como parte de un Advanced WAF es una de las formas de hacer que las máquinas trabajen para usted , en lugar de en su contra.